Parece que todos los días se anuncian nuevas brechas de seguridad, algunas de las cuales afectan a millones de personas. Estas infracciones son más que solo pérdida de datos; pueden afectar la disponibilidad general de los servicios, la confiabilidad de los productos y la confianza que el público tiene en una marca.

Piensa en una violación de seguridad como un robo. Si alguien rompe una ventana y entra en tu casa, eso es una violación de seguridad. Si el intruso te arrebata tus documentos e información personal y vuelve a salir por la ventana, es una violación de datos.

Las violaciones de seguridad ocurren mucho, no necesariamente en tu casa, sino en organizaciones grandes y pequeñas. Una violación de seguridad puede dañar la reputación y las finanzas de una organización.

Sigue leyendo para conocer la definición de brechas de seguridad y cómo minimizar la posibilidad de que se produzca una infracción en tu organización.

Definición de brecha de seguridad según el RGPD

Una violación de seguridad es cualquier incidente que resulte en acceso no autorizado a datos de ordenadores, aplicaciones, redes o dispositivos. Da como resultado el acceso a la información sin autorización. Por lo general, ocurre cuando un intruso puede pasar por alto los mecanismos de seguridad.

Técnicamente, hay una distinción entre una violación de seguridad y una violación de datos. Una violación de seguridad es efectivamente un robo, mientras que una violación de datos se define como el cibercriminal que se escapa de la información. La violación de seguridad es cuando él entra por la ventana, y la violación de datos es cuando coge tu cartera u ordenador portátil.

La información confidencial tiene un valor inmenso. A menudo se vende en la web oscura. Por ejemplo, se pueden comprar nombres y números de tarjetas de crédito, y luego usarlos con fines de robo de identidad o fraude.

No es sorprendente que las infracciones de seguridad puedan costarles a las compañías enormes cantidades de dinero. En promedio, la factura es de casi 4 millones de euros para las grandes corporaciones.

También es importante distinguir la definición de violación de seguridad de la definición de un incidente de seguridad.

Un incidente puede involucrar una infección de malware, un ataque DDOS o un empleado que deja un portátil en un taxi, pero si no resultan en el acceso a la red o la pérdida de datos, no contarían como una violación de seguridad.

Por ejemplo, un ataque de fuerza bruta contra un sistema protegido, que intenta adivinar múltiples nombres de usuario y contraseñas, es un incidente de seguridad, pero no puede definirse como una violación a menos que el atacante haya logrado adivinar una contraseña.

Si un incidente de seguridad le otorga al atacante acceso a sistemas protegidos, puede calificar como una violación de seguridad. Si el atacante obtuvo acceso a datos confidenciales, es una violación de datos.

Tipos de brechas de seguridad que se pueden dar

Las brechas de seguridad a menudo se caracterizan por el vector de ataque utilizado para obtener acceso a sistemas o datos protegidos.

A continuación se muestran los tipos comunes de ataques utilizados para realizar infracciones de seguridad.

  • Denegación de servicio distribuida (DDoS): los atacantes toman el control de una gran cantidad de dispositivos para formar una botnet y los utilizan para inundar un sistema de destino con tráfico, abrumando su ancho de banda y recursos del sistema. DDoS no es un medio directo para violar los sistemas organizacionales, pero puede usarse como una distracción mientras los atacantes realizan la violación real.
  • Man in the middle (MitM): los atacantes interceptan la comunicación entre los usuarios y el sistema objetivo, se hacen pasar por el usuario o el sistema objetivo y lo utilizan para robar credenciales o datos. Esto les permite obtener datos no autorizados o realizar acciones ilícitas.
  • Ingeniería social: los atacantes manipulan a los usuarios o empleados de una organización, engañándolos para que expongan datos confidenciales. Un método de ataque común es el phishing, en el que los atacantes envían correos electrónicos o mensajes falsos, lo que hace que un usuario responda con información privada, haga clic en un enlace a un sitio malicioso o descargue un archivo adjunto malicioso.
  • Malware y ransomware: los atacantes pueden infectar sistemas de destino o puntos finales conectados a un sistema de destino protegido con software malicioso, conocido como malware. El malware puede inyectarse mediante ingeniería social, explotando vulnerabilidades de software o aprovechando una autenticación débil. El malware se puede utilizar para comprometer un sistema informático y obtener el control remoto del mismo o dañar o eliminar su contenido, como en un ataque de ransomware.
  • Ataques de contraseña: los atacantes pueden usar bots, en combinación con listas de contraseñas comunes o credenciales robadas, para adivinar una contraseña y comprometer una cuenta en el sistema de destino. Por lo general, esto se hace para cuentas regulares con privilegios limitados y los atacantes realizan movimientos laterales para comprometer cuentas adicionales más privilegiadas.
  • Amenazas persistentes avanzadas (APT): si bien la mayoría de los ataques cibernéticos son automáticos y no distinguen entre víctimas, APT es un ataque organizado y dirigido contra una organización específica. Lo lleva a cabo un equipo de actores de amenazas expertos durante semanas o meses y puede incluir una combinación de varias técnicas de ataque avanzadas.

¿Cómo gestionar una brecha de seguridad en tu empresa? Pasos a seguir

Las violaciones de datos son una amenaza constante para todas las organizaciones, y no importa cuántas políticas, estrategias o defensas existan, tarde o temprano un atacante experto podrá comprometerlas.

Los efectos de una violación de datos para una empresa pueden ser perjudiciales; informes citan que el 60 por ciento de las pequeñas empresas se queden sin trabajo dentro de los 6 meses después de una violación de datos .

Es importante mantenerse protegido y hacer todo lo posible para evitar ataques, pero incluso si no funcionan, no hay necesidad de entrar en pánico. Es completamente posible recuperarse de una violación de datos y volver al negocio, por lo que tener un plan de recuperación es de crucial importancia. Cada organización tiene su propio plan de recuperación.

Aquí tienes algunos pasos que siempre deben incluirse en caso de sufrir una brecha de seguridad en la empresa.

Detección, identificación y análisis

Antes de dejarnos llevar, establezcamos si, de hecho, ha habido una violación. Esto es parte de la etapa de identificación en el proceso de respuesta a incidentes.

Debes ver lo que se ha informado y cómo. ¿Fue una notificación de terceros? ¿Un miembro del personal interno que informó algo extraño o hizo clic en un enlace? ¿Tu banco fue el que te hizo saber que ha habido transacciones fraudulentas con tarjetas de crédito de tu organización? ¿Los archivos en la red están encriptados repentinamente?

Todas estas notificaciones deben validarse y confirmarse. No sería la primera vez que un incidente resulta ser una nueva característica en un sitio web, un nuevo sistema o una configuración incorrecta.

¿Cómo se confirma el incumplimiento? Simple, supón que la información recibida es correcta y formula una hipótesis de cómo podría haber ocurrido.

Algunas preguntas clave que deberás hacer son:

  • ¿Dónde existe esta información en nuestra organización?
  • ¿Cómo se puede acceder? ¿Es solo interno o tiene conexión a Internet? Tal vez es almacenado por un tercero?

Hacer estas dos preguntas te ayudará a establecer si realmente son tus datos y tal vez te dará una idea de qué controles pueden haber fallado. Estas preguntas te proporcionarán orientación sobre dónde debes buscar a continuación. ¿Estamos examinando registros web y de aplicaciones, o estamos explorando registros de acceso interno, registros proxy, registros de correo electrónico, etc.?

Ahora que lo has validado, es realmente una violación o una sospecha de violación, puedes pasar a la siguiente fase. Si aún no lo has hecho para ayudar a identificar los problemas, este es un buen momento para reunir al equipo de respuesta a incidentes. Puede ser un buen momento para informarle a la gerencia que existe una posible violación que debe abordarse y avisar al oficial de privacidad para que sepa que puede haber un requisito de quiebra de datos de notificación obligatoria.

Clasificación

Durante la fase de análisis y detección también es importante identificar el tipo d brecha de seguridad al que te enfrentas. En función de ello habrá que tomar unas u otras medidas. Como ya has visto, las brechas de seguridad pueden ser de diferentes tipos, desde virus o malware hasta ataques de denegación de servicio, pasando por la ingeniería social.

Plan de contingencia ante una brecha

¿Cómo actuar en caso de que se haya detectado una brecha de seguridad? De nuevo, hay que dar una serie de pasos encaminados a erradicar la amenaza y evitar que vuelva a producirse.

Contención

La contención del incidente es el siguiente paso en el proceso. Es posible que el daño ya esté hecho, es cierto, pero aún debes lidiar con el hecho de que un atacante aún puede estar en tu red y aún tener acceso a los datos.

En la etapa de identificación, habrías mirado los diversos registros y establecido cómo ocurrió el hecho, o al menos tendrás una buena idea. Si los registros web indican una inyección de SQL, puedes eliminar la aplicación o configurar un WAF para descartar esas solicitudes. Puedes apagar el servicio mientras identificas la causa raíz y erradicas el problema.

Si fue un correo enviado por un miembro del personal, habla con el culpable y explícale el resultado de sus acciones. Entonces, para contener el problema, puedes:

  • Restablecer contraseñas y deshabilitar credenciales comprometidas
  • Abordar vulnerabilidades y errores conocidos a través de parches
  • Bloqueo de acceso a la red
  • Poner en cuarentena hosts o aplicaciones comprometidas o apagar sistemas.
  • Tener algunas discusiones severas sobre los siguientes procesos.

La decisión de cerrar los sistemas que efectivamente cierran las operaciones comerciales no debe tomarse a la ligera, pero puede ser necesaria para ayudar a prevenir un daño mayor. No olvides que si tus sistemas se están utilizando para atacar a otros, puede ser aún más grave. Además, comunica a la gerencia lo que ha estado sucediendo.

Solución

Una vez que se ha logrado la contención, existe una gran presión para eliminar la maldad de inmediato. Sin embargo, debes identificar la causa raíz del problema.

Durante la identificación, obtuviste las primeras pistas, durante la contención, las excluiste y, con suerte, obtuviste más información. Ahora es el momento de observar e identificar exactamente cómo, qué y por qué del problema.

Realmente no hay sustituto para una investigación exhaustiva. Hacer esto mal dará como resultado un sistema que se verá comprometido una y otra vez.

Identificar la causa raíz del problema es primordial. El análisis debe llevarse a cabo y la ruta de compromiso debe entenderse en detalle íntimo. Si no puedes explicar la quiebra de datos con detalles y no tienes una línea de tiempo completa de los eventos, entonces la investigación no está completa.

Cuando busques la causa raíz, asegúrate de administrar su evidencia, establecer sus cronogramas e identificar el cómo y el por qué. ¿Faltaron parches, una configuración incorrecta de un sistema, una regla de firewall que faltaba, un código incorrecto en una aplicación? Crear una línea de tiempo es, con mucho, el mejor enfoque para obtener claridad sobre los eventos que han resultado en la violación.

Revisa todos los elementos. Usa las herramientas que tienes para identificar la vulnerabilidad que fue explotada. Podría ser técnico, podría ser de procedimiento. Considera implementar una herramienta de respuesta a incidentes para ayudar a identificar los sistemas comprometidos o el malware si están presentes.

Una vez que hayas establecido cómo puedes diseñar estrategias para erradicar el problema.

Tendrás información sobre:

  • el marco temporal (¿cuándo comenzó la violación?)
  • qué sistemas e información ha sido revelada, modificada o perdida
  • quien ha sido impactado. ¿Es probable que el impacto cause daños graves?
  • son terceros involucrados o afectados

Recuperación

Esta es la etapa de recuperación del proceso de respuesta a incidentes. Reconstruir sistemas, recuperar datos, parchear sistemas, arreglar la configuración para asegurarse de que no vuelva a ocurrir el mismo problema.

Este paso está informado y guiado por el resultado de los pasos de erradicación anteriores. La limpieza posterior a la quiebra de los datos es vital para prevenir la recurrencia.

Constrúyelo desde cero, parche, pruébalo, escanea, parchea de nuevo, pruébalo de nuevo, asegúrate de aplicar todos los controles adicionales que has identificado para ayudar a prevenir los problemas. Pruébalo de nuevo. Después de todo eso, esa es la etapa en la que el sistema se puede volver a poner en línea.

Ten en cuenta que durante la recuperación, es probable que tu personal de soporte y administración permanezca con exceso de trabajo y bajo presión. Implementa y aplica procesos de gestión de la fatiga para gestionar las cargas de trabajo para garantizar que los errores tontos no se introduzcan en esta etapa.

Comunicación

Las lecciones aprendidas en la etapa de preparación son clave. Una vez que el incidente haya terminado, siéntate y pregúntate lo que debería haber ido mejor. Revisa la información del análisis de causa raíz y determina qué es parte de la respuesta a incidentes.

Actualiza la documentación, escribe un informe posterior al incidente. El Informe posterior al incidente proporciona excelentes lecciones aprendidas, permite una revisión objetiva de los procesos actuales y brinda oportunidades de mejora.

Desde una perspectiva de notificación, debes notificar ese incidente de seguridad a los afectados y a las autoridades correspondientes, según lo exigido en la normativa.

Si me pongo en la posición de un individuo afectado por una violación. Evaluaré la violación para ver si la organización violada ha hecho todo lo posible para asegurar mi información personal y datos confidenciales antes de la violación.

Lo que más me importará desde el punto de ser notificado, es cómo la organización gestiona la quiebra y la recuperación.

Si la recuperación y la gestión son ejemplares, es más probable que proporcione a la empresa divulgadora un cierto grado de comprensión y les brinde el beneficio de la duda. Si la gestión de incumplimiento es deficiente o descuidada, llevaré mis datos y mi negocio a otra parte.

¿Cómo Notificar la brecha de seguridad?

Si bien el RGPD deja el significado de las infracciones de datos bastante amplio, es mucho más específico sobre cómo manejarlas.

El artículo 33 del RGPD se titula «Notificación de una violación de datos personales a la autoridad supervisora», y establece el procedimiento adecuado notificación de una violación de datos en términos claros.

¿Quién debe notificarla?

El RGPD señala que los encargados de notificar las brechas de seguridad han de ser los controladores de datos de una empresa. La propia normativa lo define como «la persona física o moral, autoridad pública, dependencia u otro organismo que solo, o en conjunto con otros, determina la finalidad y los medios para procesar los datos personales».

¿A quién debe notificarse y cuándo?

Los controladores de datos deben informar cualquier incumplimiento a la autoridad de supervisión adecuada (AEPD) dentro de las 72 horas posteriores a su conocimiento. Si un procesador de datos descubre la violación, se debe notificar al controlador de datos sin demora indebida.

Procedimiento

El detectar una brecha de seguridad se han de evaluar una serie de factores, para poder comunicar el hecho a la autoridad de supervisión con las mayor exactitud posible.

Valoración del riesgo

Definir el tipo de amenaza al que se enfrenta la empresa. ¿Se trata de un virus o malware? ¿Ha sido un ataque man-in-the-middle? ¿O un ataque DNS?

Daños materiales o inmateriales

Determinar los daños que dicha amenaza puede suponer para la empresa tanto para sus equipos de trabajo, ya sea hardware o software, como para su operativa interna.

Alcance

Las consecuencias que podría acarrear. ¿Qué áreas de la compañía podrían verse afectadas por esta brecha de seguridad? ¿Supone algún riesgo para los empleados? ¿Y para la seguridad o privacidad de los clientes?

Evidencia o incidente real

En caso de que las brechas de seguridad pudieran tener graves consecuencias, es recomendable ponerse en contacto con la autoridad de supervisión tan pronto como existan indicios de esta situación irregular.

Contenido mínimo

La notificación a la AEPD de brechas de seguridad ​​debe incluir varios datos específicos, que incluyen:

  • La naturaleza y el alcance de la quiebra de datos, incluidas, cuando sea posible, las categorías de datos, la cantidad de interesados ​​y la cantidad de registros de datos personales involucrados
  • Información de contacto del Delegado de protección de datos de la organización u otro punto de contacto
  • Posibles consecuencias de la violación.
  • Qué intenta hacer la empresa para abordar la violación y limitar la amenaza a los interesados

Las organizaciones que no informan una violación de datos en el plazo asignado de 72 horas tienen la oportunidad de explicar los motivos de la demora, pero pueden enfrentar multas y sanciones importantes.

Formulario

Existe un modelo oficial para denunciar brechas de seguridad. Puedes descargar aquí el formulario de notificación de brechas de seguridad (pdf).

Excepciones a la obligación de notificación

No existe la obligación de notificar brechas de seguridad en los siguientes casos:

  • Cuando se hubieran tomado las medidas técnicas y organizativas necesarias antes de la violación de seguridad.
  • Si el responsable ha tomado posteriormente a la violación las medidas necesarias para evitar que el riesgo se convierta en real.
  • En caso de que la notificación requiera un esfuerzo demasiado alto, en cuyo caso se podría sustituir por una comunicación pública.

Figuras implicadas

Las figuras implicadas en la notificación de brechas de seguridad son los responsables o encargados del tratamiento, o de sus representantes. También, el Delegado de Protección de Datos en los casos previstos por ley. De otra parte, está la autoridad de control a la cual se remite el incidente..

Ejemplos

Estos son solo algunos ejemplos de las infracciones de seguridad a gran escala que se descubren todos los días.

Yahoo

La infracción de seguridad de Yahoo fue causada por una campaña de correo electrónico de phishing y resultó en el compromiso de más de 3 mil millones de cuentas de usuario. Los datos expuestos incluyen nombres, números de teléfono, preguntas de seguridad y contraseñas débilmente cifradas. Muchas de esas contraseñas han llegado a la web oscura y forman la base de las bases de datos de credenciales robadas que los atacantes utilizan hoy en día.

La violación ocurrió en 2013 y 2014, pero solo descubrió en 2016.

Equifax

Equifax es un servicio de informes de crédito en Estados Unidos. Los atacantes explotaron una vulnerabilidad en Struts, un marco de código abierto que fue utilizado por el sitio web de la organización.

La tragedia fue que se trataba de una vulnerabilidad conocida y los procedimientos adecuados para parchear y actualizar los sistemas del sitio web habrían evitado la violación. El ataque expuso la información privada de 145 millones de personas, incluidos nombres, números de seguridad social y licencias de conducir, creando un grave riesgo de robo de identidad.

Facebook

En 2018, los atacantes obtuvieron acceso a 400.000 cuentas de usuario de Facebook y las usaron para obtener los tokens de acceso de 30 millones de usuarios de Facebook. Estos tokens proporcionan acceso completo a las cuentas de Facebook.

Catorce millones de usuarios tenían información privada expuesta, incluido el estado de la relación y los lugares recientes que visitaron. Quince millones tenían nombres y datos de contacto violados.

Home Depot

El robo de información de tarjetas de pago se ha convertido en un problema común en la sociedad actual. Incluso después de las lecciones aprendidas de la violación de datos de Target, los sistemas de punto de venta de Home Depot se vieron comprometidos por métodos de explotación similares.

El uso de credenciales de proveedores de terceros robadas y el malware de eliminación de RAM fueron fundamentales para el éxito de ambas violaciones de datos.

El malware de raspado de RAM capturó los datos de la tarjeta de pago en el incumplimiento de Home Depot, no los skimmers de tarjetas de pago. Sin embargo, el malware nunca se habría instalado en los sistemas si los atacantes no tuvieran credenciales de terceros y si la red de pago estuviera segregada adecuadamente del resto de la red de Home Depot.

La implementación del cifrado P2P y la segregación de red adecuada habrían evitado la violación de datos de Home Depot.

Sanciones y consecuencias

No comunicar las brechas de seguridad se considera como una infracción grave y podría acarrear multas de hasta 10 millones de euros o el 2% del volumen de negocio de la empresa en el ejercicio anterior.

Preguntas frecuentes

¿Qué pasa si la brecha se produce por parte de terceros encargados de tratamiento?

Los encargados deben informar a los responsables del tratamiento siempre que se produzca una brecha de seguridad que puedan suponer una quiebra de los datos personales.

¿Qué consecuencias tiene la notificación de la brecha de seguridad a la AEPD?

Notificar las brechas de seguridad tiene un doble aspecto positivo. Por un lado, reduce la sanción que podría recibir la empresa. Por otro, limpia la imagen que ofrece a la opinión pública.

¿Cuándo debe considerarse que supone un riesgo para los derechos de los interesados?

Casos en lo que exista riesgo de fraude o usurpación de identidad, reversión de la anonimización, pérdidas financieras para la empresa o perjuicio para su reputación.

Cuando se ponga en riesgo la confidencialidad de información sometida al deber de secreto profesional.o se evalúen aspectos personales referentes al rendimiento laboral.

Si el tratamiento afecta a un elevado número de interesados e implica el tratamiento de un gran volumen de datos personales.

¿Qué ocurre si notifico la brecha de seguridad después del plazo de 72 horas?

Si una empresa no notifica una brecha de seguridad a tiempo corre el riesgo de ser sancionada.

En todo caso, se puede realizar la notificación pasado este plazo, siempre y cuando se acompañe de una explicación que argumente los motivos de este retraso.

¿Cómo puedo evitar un incidente de seguridad en mi empresa?

Esta es la pregunta más complicada de todas. Nadie está totalmente a salvo de sufrir algún ataque informático o un fallo de seguridad. En todo caso, hay que adoptar las medidas técnicas y organizativas necesarias para reducir la máximo las posibilidades de que esto suceda. También hay que tener una política de seguridad definida y un protocolo de respuesta ante incidentes, con el objetivo de actuar con la mayor rapidez posible ante los ataques.

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.